1.一種XML注入漏洞檢測與防御方法，其特征在于，包括：

一獲取及存儲待上傳XML文件的服務器；

模擬注入攻擊，獲取XML文件并存儲在服務器中，篡改XML文件并模擬注入攻擊；

對XML文件的標識、內容結構及來源與去向進行合法性校驗；

對XML文件中各項參數格式校驗；

所述模擬注入攻擊及XML文件校驗合法后，XML文件上傳正式服務器。

2.如權利要求1所述的一種XML注入漏洞檢測與防御方法，其特征在于，所述模擬注入攻擊的方式為：檢測web站點XML文件傳輸操作，截取待上傳的XML文件，模擬攻擊者意圖對該文件進行篡改，將篡改后的惡意文件上傳至服務器，測試攻擊結果。

3.如權利要求1所述的一種XML注入漏洞檢測與防御方法，其特征在于，對XML文件的標識、內容結構及來源與去向進行合法性校驗方式包括：

在前端用密鑰對XML的文件標識進行加密，服務器對上傳的XML文件標識解密后進行合法性校驗，XML文件標識校驗通過后，依照預定的文件結構對XML文件內容結構合法性進行校驗，XML文件內容結構校驗通過后，依照預定的傳輸路徑對XML文件來源與去向進行合法性校驗。在三項校驗中，其中任何一項校驗不通過，則XML文件必然被篡改，服務器應舍棄該文件并且要求前端重發。

4.如權利要求1所述的一種XML注入漏洞檢測與防御方法，其特征在于，所述對XML文件中各項參數格式校驗的方式為：

所述字符防御模塊校驗參數格式時，依照服務器中存儲的字符黑名單對XML文件中字符進行檢測，若存在非法字符則舍棄該文件并要求前端重發，同時，對XML文件內容進行編碼轉換，對編碼轉換后的XML文件內容中的預定義字符轉義，凡是存在于預定義字符列表中的字符均轉義為對應的預定義字符列表中轉義后的字符。

5.一種XML注入漏洞檢測與防御裝置，其特征在于，所述XML注入漏洞檢測與防御裝置包括：

一服務器，用于獲取及存儲待上傳XML文件，以及存儲XML文件字符黑名單；

一XML注入檢測模塊，主要檢測web站點XML文件傳輸操作，截取要上傳的XML文件，模擬攻擊者意圖對該文件進行篡改，將篡改后的惡意文件上傳至服務器，測試攻擊結果；

一基本防御模塊，服務器對上傳的XML文件標識解密后進行合法性校驗，XML文件標識校驗通過后，依照預定的文件結構對XML文件內容結構合法性進行校驗，XML文件內容結構校驗通過后，依照預定的傳輸路徑對XML文件來源與去向進行合法性校驗。

一字符防御模塊，依照預定的參數格式對XML文件中各項參數格式校驗。

6.如權利要求5所述的一種XML注入漏洞檢測與防御裝置，其特征在于，所述字符防御模塊校驗參數格式時，依照服務器中存儲的字符黑名單對XML文件中字符進行檢測，若存在非法字符則舍棄該文件并要求前端重發，同時，對XML文件內容進行編碼轉換，對編碼轉換后的XML文件內容中的預定義字符轉義，凡是存在于預定義字符列表中的字符均轉義為對應的預定義字符列表中轉義后的字符。